Polymarket는 다크웹 판매자가 제기한 고객 데이터 유출 주장을 일축하며, 판매 중이라는 30만 건의 기록은 이미 온체인 피드와 API를 통해 공개적으로 접근 가능한 정보라고 설명했다.
해커 게시글과 Polymarket의 대응
"xorcat"이라는 핸들을 사용하는 다크웹 활동가는 화요일 DarkForums에 게시글을 올려, 이름, 프로필 이미지, 지갑 주소를 포함한 1만 개 사용자 프로필을 포함해 30만 건이 넘는 기록을 확보했다고 주장했다.
이 게시글은 Dark Web Informer와 사이버보안 업체 Vecert Analyzer에 의해 포착됐다.
Polymarket는 이러한 보도에 대해 "완전한 헛소리"라고 반박했다. 플랫폼 측은 해당 데이터가 누구나 무료로 가져갈 수 있는 공개 엔드포인트와 온체인 기록에 존재한다고 밝혔다.
xorcat은 이 데이터셋이 문서화되지 않은 API 엔드포인트, 페이지네이션 우회, 그리고 Gamma 및 CLOB API에서 발견된 CORS 잘못된 설정을 통해 조합되었다고 주장했다.
또한 읽기: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
연구자들 의견과 버그 바운티 프로그램
판매자는 Polymarket이 버그 바운티 프로그램을 운영하지 않기 때문에 데이터 덤프가 정당하다고 주장했다. 이 주장은 사실이 아니다.
실제로 버그 바운티 프로그램은 4월 16일 시작됐으며, Cantina 목록에 따르면 수요일 기준 446건의 리포트가 접수돼 있다.
Legalblock의 최고 보안 책임자인 Vladimir S는 이 목록이 실제 침해라기보다는, 공개 데이터를 파싱해 데이터베이스 유출인 것처럼 포장한 것으로 보인다고 평가했다.
Polymarket가 공격을 받은 것은 이번이 처음이 아니다. 서드파티 로그인 제공업체와 연관된 계정 자금 유출이 2025년 말에 발생했으며, 2월에는 오프체인 논스 조작 공격이 트레이딩 봇을 강타했다. 그러나 이들 사건 모두 플랫폼의 코어 스마트 컨트랙트에는 영향을 미치지 못했다.
다음 읽기: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns